Стратегія кібербезпеки України 2021-2025. Залишити не можна виправити
У березні-квітні 2021 року фахівці з кіберзахисту були запрошені до обговорення проекту нової Стратегії кібербезпеки України на 2021-2025 роки.
Документ було розроблено за дорученням Президента України та схвалено Робочою групою при Національному координаційному центрі кібербезпеки Ради національної безпеки і оборони України.
З огляду на ключову роль Стратегії в розвитку цивілізованого простору для роботи експертних підприємств та організацій у сфері кібербезпеки, ми проаналізували основні зміни, що пропонує проект документу для усіх представників галузі та економіки України в цілому.
Чи є новим цей «новий» документ
Загалом, ідея створення єдиного інформаційного поля та «правил гри» щодо кібербезпеки не нова для України. До появи даного проекту документу у січні 2016 року Указом Президента України вже було введено в дію Стратегію кібербезпеки України, що рамково окреслила основні положення галузі.
Тим не менш, новий варіант Стратегії є більш досконалим з огляду на глибину регулювання процесів. Єдиний документ, єдиний вектор руху, розуміння глобальних тенденцій, що описуються в проекті нової Стратегії – є досить позитивним сигналом для бізнесу.
Що ж було «не так» з попередньою редакцією документа? Зайва декларативність та відсутність конкретики, за загальною думкою професіоналів ринку кібербезпеки, зробила його мало корисним для реальних викликів останніх років. А тим часом кількість кіберінцедентів, як ви й самі бачите, зростала і продовжує зростати катастрофічними темпами.
Почнемо з самого початку
В старій версії Стратегії кібербезпеки навіть не було дано визначення критичної інфраструктури. Спойлер – в новій версії документу воно так само відсутнє, ані у вигляді реєстрів, ані у вигляді законодавчих актів. Тож логічно, що існує деякий хаос у розумінні того, що ж саме мають захищати ті спеціалісти, що відповідають за цей захист.
Слабкою стороною і старої, і нової версії головного кібердокументу країни є також і його орієнтація, головним чином, на задачі військово-оборонного комплексу. Хоча тепер, на відміну від попередніх років, чітко визначено єдиний центр, що відповідає за забезпечення кібербезпеки, оскільки раніше таких структур було декілька і вони не взаємодіяли між собою.
Що ж поганого у збереженні орієнтації Стратегії на державний сектор
Це так званий «тунельний зір». Коли ми визначаємо об’єктами критичної інфраструктури виключно певні традиційно вагомі об’єкти, здебільшого державного значення – в атомній енергетиці, водозабезпеченні, енергетиці, тощо.
Але є й інші, більш інноваційні, нові галузі, що також мають критичне значення, та традиційно не є об’єктом уваги держави. Наприклад, мобільний зв’язок. Це також інфраструктура, що забезпечує достатньо багато стратегічних комунікацій, і при цьому в нашій країні держава не має майже жодного стосунку до цієї сфери. Здебільшого це приватні компанії, при чому, деякі з них належать громадянам недружньої держави.
А відповідно – всі задачі, що прописані в Стратегії кібербезпеки України, до таких компаній мають безпосередній стосунок. Чи не так?
І така ж сама ситуація з приватними підприємствами енергетики, водозабезпечення, що для великих українських міст, наприклад, є чи не найбільш «критичною» інфраструктурою, але у Стратегії, ані попередньої, ані поточної редакції, до неї не належать.
Чи вплине нова Стратегія кібербезпеки України на бізнес
Певно, що ні. Принаймні, зараз в документі точно не міститься жодних посилань на регулювання бізнес-середовища в Україні.
Хоча деякі речі в тексті проекту документу мене особисто неприємно вразили, оскільки мають натяк на додаткові податки та збори, що зовсім не стосується цієї сфери регулювання з боку держави.
Наприклад, з’являється така функція, як необхідність обов’язкової сертифікації засобів кіберзахисту. Як це впливатиме на звичайний бізнес, практично на кожного з нас? Безпосередньо і кожен день. Ви використовуєте, наприклад, антивірус, але він не сертифікований державою. Після сертифікації вартість такого антивірусу може зрости в десятки разів.
Знову ж таки, вкотре просувається така цікава опція, як «забезпечення технічних можливостей для підключення засобів оперативно-розшукових заходів на комунікаційних мережах» (СОРМ).
Ця тема обговорюється багато років, і багато разів її намагалися під різним прикриттям застосувати. Якщо коротко, там, де є СОРМ - з’являються значні обмеження. З’являється можливість не зовсім законного отримання інформації, спроби маніпуляцій і таке інше.
Я вважаю це вкрай негативним явищем, і це добре видно на прикладі нашого північного сусіда, де такі системи використовуються зовсім не для боротьби з кіберзлочинцями, а лише для придушення громадянського спротиву недемократичним діям влади. Це саме той випадок, коли «благими намірами» вимощено шлях зовсім у зворотній бік.
Запровадження своїх національних стандартів теж досить хитка позиція документу. Це, як на мене, виглядає як «робота заради роботи». Є досить багато якісних і загальновідомих світових розробок в цьому напрямі: ISO 27001, NIST Cybersecurity. ISO 27001, наприклад, добре себе зарекомендували в забезпеченні кібербезпеки Нацбанку. Загалом, приклад Нацбанку може стати еталонним в нашій країні для побудови надійної системи кібербезпеки і кіберзахисту.
Не всі сервіси однаково корисні
Звичайно, нас в IT-середовищі цікавило, перш за все, чи вплине нова Стратегія кібербезпеки України на нас як на бізнес.
І тут теж негатив, оскільки в документі явно прописано, що держава поступово буде відходити від нормативної та контролюючої ролі в бік сервісної моделі.
Тобто держава відтепер буде надавати сервісні послуги тим, кого зобов’язана захищати. Це, як на мене, досить небезпечна позиція, перш за все, з економічної точки зору – маємо створення державної монополії. А з досвіду саме IT-галузі в Україні ми всі вже добре знаємо, що найкраще вона розвивається в умовах саме жорсткої конкуренції, завдяки якій і відбулося становлення галузі в цілому.
Цифровізація і ДПП «всієї країни»
Не чітко виписані в Стратегії і принципи безпечної цифровізації, про яку так багато говорять останнім часом. Схоже, що, з точки зору кібербезпеки, держава надалі так і продовжуватиме тільки говорити. А хотілося б більш чіткого розуміння, «дорожньої карти» дій щодо виявлення критичних вразливостей, адже за кордоном все це робиться за стандартним механізмом, діє та сама програма Bug Bounty, приміром, за якою компанії і держава сплачують значну винагороду за виявлення вразливостей раніше за злочинців. В нас все це не діє, хоча в Стратегії з цього приводу є й досить вірні тлумачення.
Що ж стосується пріоритетної зараз в цифровій сфері теми державно-приватного партнерства, ми як група компаній, що спеціалізується на кібербезпеці, зацікавлені в таких партнерствах, у співпраці з державою і з іншими представникам галузі. На жаль, і на це питання даний проект Стратегії не дає нам чітких відповідей. Хоча ми сподіваємося, що з появою єдиного координаційного центру справа ДПП у цифрових проектах зрушить з мертвої точки.
Кібербезпека для звичайного українця
Про неї у новому варіанті Стратегії знову нема жодного слова. Можливо, тому що для самих громадян поки що слова «кібербезпека», «кіберзлочинці», «кібершахрайство» звучать абстрактно та незрозуміло.
Але всі вони стають досить конкретними, коли у фізичної особи крадуть цифровий підпис, чи доступ до карткових рахунків в онлайн-банкінгу, чи просто використовують е-копії установчих документів чи паспорту, ІНН – і крадуть кошти, майно, бізнес.
Небезпека зовсім поряд і вона реальніша тим більше, чим більше цифрові послуги входять в наш побут. Тому, коли держава каже «ми будемо цифровізуватися», одразу має казати, як вона буде забезпечувати кібербезпеку своїх громадян. Не просто пояснювати, навчати та обговорювати - а надавати реальні цифрові інструменти кіберзахисту кожному користувачу.
Всього цього в даному варіанті Стратегії я не побачив. Так само, як і не побачив нових реальних інструментів, або хоча б механізму роботи з кіберзагрозами для підприємств та підприємців.
А значить, знову і знову повторюватимуться такі кіберінциденти, як в одному з наших кейсів, коли ми за допомогою власного Security Operation Center відстежили деякі аномальні активності щодо акаунту нашого співробітника, з’ясували географічне місце знаходження кіберзловмисників за кордоном та в Україні, в Харкові, та так і не знайшли робочої послідовності взаємодії з правоохоронними органами, щоб зафіксувати факт кіберзлочину та покарати винних.
Але чим такий злочин відрізняється від звичайної крадіжки в маркеті чи грабунку на вулиці?
Висновок один – необхідно негайно врегулювати такі механізми законодавчо та за допомогою даного документу, в тому числі.
Мистецтво малих кроків
Тим не менш, проект нової Стратегії кібербезпеки України 2021-2025 справив на мене особисто досить позитивне враження. Є багато конкретики, є глибина та розуміння проблематики. Загалом, я вважаю - це вірний вектор розвитку сфери кібербезпеки і кіберзахисту в Україні на державному рівні.
Що я обов’язково хотів би бачити у затвердженому варіанті Стратегії?
Звичайно, Roadmap - «дорожню карту» реалізації документу з конкретними цілями, строками, відповідальними особами та розумінням того, яким ресурсом буде досягнуто той, чи інший результат.
Чекаємо на нову затверджену Стратегію кібербезпеки України.
І нехай ваш бізнес, ваше життя і ваш цифровий світ завжди буде під надійним захистом кіберпрофесіоналів.
- Експорт української продукції в Азербайджан зріс на 15,1% за 10 місяців 2024 року Юрій Гусєв 14:30
- Підстави для виселення при зверненні стягнення на предмет іпотеки Євген Морозов 14:16
- Історичний кіт у мішку: чому піврічні торги деревиною обурили деревообробників Юрій Дюг 07:32
- Доплата за фактичні квадратні метри об`єкту інвестування Євген Морозов вчора о 14:52
- "Компостер подій" Кремля: будьте пильними Євген Магда вчора о 11:28
- З 1 грудня зміняться правила бронювання: з'явилася Постанова Кабміну Віталій Соловей 23.11.2024 20:23
- Бюджет-2025 прийнятий, але це не точно Любов Шпак 23.11.2024 18:55
- Час затягувати паски Андрій Павловський 23.11.2024 17:27
- Строк нарахування 3% річних від суми позики Євген Морозов 23.11.2024 13:52
- Судовий захист при звернені стягнення на предмет іпотеки, якщо таке майно не відчужено Євген Морозов 22.11.2024 13:02
- Система обліку немайнової шкоди: коли держава намагається залікувати невидимі рани війни Світлана Приймак 22.11.2024 11:36
- Чому енергетичні та газові гіганти обирають Нідерланди чи Швейцарію для бізнесу Ростислав Никітенко 22.11.2024 08:47
- 1000+ днів війни: чи достатньо покарати агрессора правовими засобами?! Дмитро Зенкін 21.11.2024 21:35
- Горизонтальний моніторинг як сучасний метод податкового контролю Юлія Мороз 21.11.2024 13:36
- Ієрархія протилежних правових висновків суду касаційної інстанції Євген Морозов 21.11.2024 12:39
-
24 листопада в Україні відключатимуть світло – деталі
Бізнес 8498
-
Банки в ОАЕ, Туреччині та Таїланді не обслуговують видані Газпромбанком картки UnionPay
Фінанси 8468
-
Чоловіки, які прийшли на підприємство і були заброньовані після 18 травня, втратять бронь
виправлено Бізнес 7529
-
В Україні фальсифіковані до 25% молочних продуктів: голова Спілки молочних підприємств
Бізнес 6695
-
Найвища гора Західної Європи та найефектніша гора Франції: неперевершений Монблан — фото
Життя 3681